Go to main content

Oracle SuperCluster M7 Series - Sicherheitshandbuch

Druckansicht beenden

Aktualisiert: Februar 2016
 
 

Aktivieren des sicheren geprüften Startvorgangs (Oracle ILOM-CLI)

Mit dieser Aufgabe aktivieren Sie den sicheren geprüften Startvorgang über die Oracle ILOM-CLI. Alternativ können Sie die Oracle ILOM-Weboberfläche verwenden. Siehe Sicherer geprüfter Startvorgang (Oracle ILOM-Weboberfläche).

Geprüfter Startvorgang bezieht sich auf die Prüfung von Objektmodulen vor der Ausführung mittels digitalen Signaturen. Oracle Solaris schützt vor dem Laden von Rogue Kernel-Modulen. Der geprüfte Startvorgang erhöht die Sicherheit und Robustheit von Oracle Solaris, indem Kernel-Module vor der Ausführung geprüft werden.

Wenn er aktiviert ist, überprüft dieser Oracle Solaris-Startvorgang die werksseitige Signatur in einem Kernel-Modul, bevor das Modul geladen und ausgeführt wird. Bei dieser Prüfung wird eine versehentliche oder böswillige Änderung eines Moduls ermittelt. Die ergriffene Maßnahme kann konfiguriert werden; wenn sie aktiviert ist, wird entweder eine Warnmeldung ausgegeben und mit dem Laden und Ausführen des Moduls fortgefahren, oder der Vorgang verläuft nicht erfolgreich und das Modul wird nicht geladen und nicht ausgeführt.

  1. Rufen Sie Oracle ILOM auf dem Rechenserver auf.

    Siehe Anmelden bei einem Rechenserver und Ändern des Standardpasswortes.

  2. Aktivieren Sie den geprüften Startvorgang. 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Rufen Sie das von Oracle bereitgestellte Zertifikat auf, und zeigen Sie es an.

    Eine vorinstallierte geprüfte Startzertifikatsdatei, /etc/certs/ORCLS11SE, wird als Teil von Oracle ILOM bereitgestellt.

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. Starten Sie das Laden des Zertifikats. 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. Kopieren Sie den Inhalt der Datei /etc/certs/ORCLS11SE, und fügen Sie ihn in die Oracle ILOM-Konsole ein.

    Speichern und verarbeiten Sie die Informationen mit Strg-z.

    Mit Strg-c beenden Sie den Vorgang und verwerfen die Änderungen.

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. Prüfen Sie das Zertifikat. 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. Prüfen Sie, ob der OBP-Parameter use-nvram auf False festgelegt ist.

    Wenn Sie den geprüften Startvorgang verwenden, muss der OBP-Parameter use-nvram auf False festgelegt sein. Dadurch wird verhindert, dass OBP geändert wird, um das geprüfte Startverfahren zu deaktivieren. Der Standardwert ist False. Melden Sie sich bei Oracle Solaris an, und geben Sie Folgendes ein:

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. 
Zurück
Weiter